在当今数字化高速发展的时代,网络安全形势日趋严峻。尤其是在地缘政治敏感的东欧地区,政府机构频繁遭受高度复杂的网络攻击。2025年3月,法国网络安全公司HarfangLab披露一种名为XDigo的恶意软件,利用Windows操作系统中一种被称为LNK的快捷方式文件漏洞,对东欧多个政府实体发起攻击。该恶意软件的出现引发了业界广泛关注,因其不仅技术手段先进,还隐蔽性极强,极大挑战了传统的防御机制。XDigo所属的攻击组织被称为XDSpy,自2011年以来一直活跃于东欧及巴尔干地区,针对政府机构实施间谍级网络攻击。其工具包与此前公开报道的多种恶意软件如UTask、XDDown及DSDownloader有所交叉,展示了攻击者在多个层面持续演进的能力。
XDiGo恶意软件使用Golang语言开发,结合Windows LNK文件中远程代码执行漏洞(编号ZDI-CAN-25373),实现了复杂的攻击链。此漏洞由安全组织Trend Micro于2025年3月公开,主要缺陷在于Windows对LNK文件的处理机制存在解析不一致及命令隐藏漏洞。LNK文件本质上是快捷方式,理论上字符串长度有65,535字符的规范限制,但Windows 11实际只支持259字符,使得部分合法性在第三方解析器和Windows自身之间存在差异。这种解析差异被攻击者巧妙利用,通过在LNK文件中填充空格等特殊字符,将实际执行的命令隐藏起来,避免用户通过Windows图形界面察觉潜在威胁。攻击起始多以ZIP压缩文件形式出现,内部包含层叠ZIP档案,内含伪装成PDF文档的诱饵文件、改名的可执行程序及恶意DLL库。恶意DLL被加载后执行名为ETDownloader的一阶段下载器,接着下载更具破坏性的XDigo植入体。
XDigo具有文件窃取、剪贴板数据提取、屏幕截图等功能,同时支持通过HTTP协议执行远程命令及数据上传,实现高效的情报窃取与控制。此次攻击针对区域包括白俄罗斯的明斯克地区,同时波及俄罗斯零售集团、金融机构、大型保险公司及政府邮政系统。显而易见,目标依然是敏感且高价值的政府及关键行业。值得注意的是,XDSpy集团展现了强大的反检测能力,其恶意代码被认为是首个尝试绕过俄罗斯PT Security沙箱检测的威胁,显示出其对本地安全防御体系的深刻了解与应对策略。此次事件再次暴露了现代操作系统中隐藏的安全隐患。微软在实现官方MS-SHLLINK规范时的偏差,成为攻击者利用的突破口,提醒行业应加强对系统底层协议及文件格式的审计与防护。
针对该漏洞,安全专家建议企业用户严格限制LNK文件的来源与执行权限,部署多层次的检测系统,结合行为分析及时发现异常执行行为。此外,持续关注安全厂商公布的补丁及漏洞信息,及时更新系统和防护工具至关重要。网络空间的攻防博弈从未停止,尤其是面对国家级复杂攻击组织,更需集结行业力量提升整体安全韧性。XDigo事件作为典型案例,不仅揭示了攻击者如何隐蔽渗透目标网络,也提醒政府和企业在数字化转型过程中重视基础安全建设。未来的网络安全防御必将依赖于更精细化的威胁情报共享、自动化检测及响应机制,以及全方位的安全文化培育。综上所述,XDigo利用Windows LNK文件漏洞的攻击链极具隐蔽性及破坏力,其针对东欧政府机构的战略意义重大。
国内外安全研究人员应加强合作,深入剖析类似攻击手法,及时制定防护策略,保障重要网络空间的安全稳定。
